2021年のセキュリティインシデント7選

2021年が間もなく終わりそうですが、振り返ってみると色々あった年でした。東京五輪などもあったので、今年だったのか？とも感じさせるのですが、DarkReadingが挙げたセキュリティインシデント７つは、どれも納得できるものでした。

www.darkreading.com

業界を揺るがしたLog4jの脆弱性
Log4jロギングフレームワークにおける重大なリモートコード実行の脆弱性は、近年の他のいくつかの脆弱性と同様に業界を揺るがしました。この懸念は、ツールがエンタープライズ、オペレーショナルテクノロジー（OT）、サービスとしてのソフトウェア（SaaS）、およびクラウドサービスプロバイダー（CSP）の各環境で広く使用されており、比較的簡単に利用できるという事実から生じました。この欠陥により、攻撃者は、サーバー、PC、およびロギングツールが存在する重要なOTおよび産業用制御システム（ICS）環境にあるデバイスを含むその他のデバイスをリモート制御することができます。

この欠陥（CVE-2021-44228）は、バージョンLog4j2.0-beta9からLog4j2.14.1に存在し、さまざまな方法で悪用される可能性があります。Apache Foundationは、この問題に対処するためにツールの新しいバージョン（Apache Log4j 2.15.0）を最初にリリースしましたが、最初の更新ではサービス拒否（DoS）攻撃とデータから完全に保護されなかったため、その後すぐに別の更新をリリースする必要がありました。

12月17日の時点で、公に報告された欠陥に関連する重大なデータ侵害はありませんでした。ただし、セキュリティの専門家は、組織が脆弱なツールのすべてのインスタンスを見つけて欠陥から保護することがいかに難しいかを考えると、攻撃者が欠陥を悪用し、予見可能な将来にわたって悪用し続けることに疑いの余地はありません。

1つ目は、現在進行形で世界中を襲っているLog4Shellの脆弱性です。連日新しいニュースが出続けている感がありますので、飽き飽きとしている方も多いかと思います。

また、調査や修正プログラム対応をしなければいけない方々にとっては、最悪な「クリスマスプレゼント」となっているのは間違いありません。

この脆弱性の怖い所は・・・影響範囲があまりに広すぎるという事と、WannaCryの様な「ワーム型」がほぼ間違いなく出てくるであろうことです。

修正パッチ対応が終わった！と思った企業や組織であっても、まったく違うプログラムが実は、Log4jを使っていたという事が、ワーム型のマルウェアによって将来「知ってしまう」事の怖さは、あまり考えたくないものがあります。

コロニアルパイプライン攻撃によりランサムウェアが国家安全保障上の問題にまで上昇
5月の米国のパイプラインオペレーターであるコロニアルパイプラインへのランサムウェア攻撃は、会社が侵害された方法についてはそれほどニュースを支配しませんでしたが、それが米国の人口の比較的広い範囲に与えた広範な影響のために。

後にロシアを拠点とするDarkSideとして特定されたグループによる攻撃により、コロニアルは歴史上初めて、5,500マイルのパイプラインの全長を閉鎖しました。この動きは、数百万ガロンの燃料の輸送を混乱させ、米国東海岸の大部分で一時的なガス不足を引き起こしました。侵害の影響により、ランサムウェアが国家安全保障レベルの懸念に高まり、ホワイトハウスからの反応が促されました。事件の数日後、バイデン大統領は、サイバーセキュリティを強化するための新しい統制を実施するよう連邦機関に要求する大統領命令を発行しました。

2つ目は、ランサムウェア×重要インフラという組み合わせが、いかに恐ろしいものがあるかを、米国東海岸でのガスパニックという形で全世界に知らしめました。

また最凶の存在であるランサムオペレータも、プーチン大統領には弱いという、意外な側面を露呈したのも、このコロニアルパイプラインと、続けて発生したJBSのインシデントです。この辺りからバイデン大統領が”本気になった”というのも、押さえておきたいポイントと言えるかも知れません。

OT系のパイプラインを即座に止めて、ランサム（身代金）を支払って、復号鍵を入手ししたにも関わらず一時期パニックが発生し、復旧に時間がかかったというのも、ランサム問題を改めて考えさせる事例になった気がします。

Kaseya Breachは、サプライチェーンのリスクに（もう一度）注意を向けました
7月初旬にIT管理ソフトウェアプロバイダーであるKaseyaで発生したセキュリティインシデントは、ITサプライチェーン内のソフトウェアベンダーやその他のプロバイダーから組織が直面する脅威の増大を再び浮き彫りにしました。

この事件は、後にREvil / Sodinokibiランサムウェアグループの関連会社に起因し、多数のマネージドサービスプロバイダー（MSP）が顧客のネットワークを管理するために使用するKaseyaの仮想システム管理者（VSA）テクノロジーの3つの脆弱性のセットを悪用する脅威アクターが関与しました。攻撃者はこの脆弱性を悪用して、KaseyaVSAを使用するMSPのダウンストリーム顧客に属する数千のシステムにランサムウェアを配布しました。

3つ目がKaseyaです。信頼されるMSPが（APT）攻撃を受けてしまうと、影響範囲が想像できない程広がる事を示したのも、この事件だった気がします。（SolarWindsもありますが）FBIが裏でREvilを攻撃していなかったら（複合鍵をREvilから入手してなかったら）、この事件の影響は相当広がった気がします。

サイバー攻撃に対して、米国は（武力も含めて）反撃する用意がある、口先だけでなく、その事を強くアピールしたのは、REvilが2度オフラインになった事でもその成果が表れている気がします。

サイバー攻撃に武力で反撃も米国防総省が新指針: 日本経済新聞

高市早苗氏が総裁選出馬会見で訴えていたサイバーセキュリティの重要性「新たな戦争への対応」（佐藤仁） - 個人 - Yahoo!ニュース

Exchange Server（ProxyLogon）の攻撃がパッチ適用の熱狂を煽った
マイクロソフトが3月初旬にExchangeServerテクノロジの4つの脆弱性（まとめてProxyLogonと呼ばれる）の緊急修正を発行したとき、この動きは最近のメモリとは異なり、パッチ適用の熱狂を引き起こしました。

パニックは、パッチが発行される前の数週間、ハフニウムと呼ばれる中国を拠点とする高度な持続的脅威（APT）グループが積極的に欠陥を標的にしていたというMicrosoftの開示によって引き起こされました。他のセキュリティベンダーによるその後の調査では、パッチが利用可能になる前にいくつかの脅威グループが欠陥を標的にしており、Microsoftの脆弱性開示後に他の多くのグループがアクションに参加したことが示されました。攻撃は非常に多かったため、F-Secureはある時点で、世界中の脆弱なExchangeServerが「数え切れないほど速くハッキングされている」と説明していました。

4つ目は、ProxyLogonです。そう言えばこれどうなったんだろう・・・と思う程に、次から次へと大きなインシデントが発生してしまったので、F-Secureが言う数えきれないハッキングはまだ継続中なのかも知れません。

PrintNightmareは、Windows PrintSpoolerテクノロジーの永続的なリスクを浮き彫りにしました
PrintNightmare（CVE-2021-34527）よりも、MicrosoftのWindows PrintSpoolerテクノロジが企業にもたらす永続的なリスクを浮き彫りにした脆弱性はほとんどありません。7月に公開されたこの欠陥は、プリンタードライバーシステムをインストールするためのスプーラーサービスの特定の機能に関連していました。この問題はすべてのWindowsバージョンに影響を及ぼし、認証された攻撃者に、脆弱性が存在するシステムで悪意のあるコードをリモートで実行する方法を提供しました。これには、重要なActiveDirectory管理システムとコアドメインコントローラーが含まれていました。マイクロソフトは、この脆弱性に対するエクスプロイトについて警告しました。その結果、環境の機密性、整合性、および可用性が失われます。

5つ目は、PrintNightmareです。これも・・・ありましたね。7月は大騒ぎしていた気がしますが、マイクロソフトの緊急パッチが、攻撃を受ける前に間に合ったのか、あまり大きな被害をニュース等では見なかった気がします。

※個人的には、この頃は東京五輪を開催するのかどうか・・・の方がよっぽど大きな関心ごとでした。

脆弱性「PrintNightmare」を悪用する攻撃手口を解説

侵害の例として機能するアクセリオンの侵入-一度/侵害-多くの攻撃傾向
米国、カナダ、シンガポール、オランダ、およびその他の国の複数の組織は、Accellionから使用していたファイル転送サービスの脆弱性のために、2月に重大なデータ侵害を経験しました。小売大手のクローガーは最大の被害者の1つであり、そのデータは従業員とその薬局および診療所サービスの何百万もの顧客に帰属していました。その他の注目すべき被害者には、法律事務所のジョーンズデイ、シンガポールテレコム、ワシントン州、ニュージーランドの準備銀行が含まれます。

6つ目はAccellion FTAで、これは2月でした。記憶の端っこの方にあります。サービス停止が既に決定していた（2021年4月末）古いサービスを襲ったインシデントでは、宅ふぁいる便を彷彿とさせますが、大容量ファイル転送サービスというのは、PPAPの代替としても存在する可能性があると考えると、PPAPの代替サービスが「安全でなければ」、Accellion FTAの様に大きな被害を受けてしまう事もあると言えます。

安易にファイル共有やファイル転送サービスに飛びつくのではなく、その認証方法や、サービス自体の脆弱性について慎重に評価してから代替サービスの採用を決定しないと、ZIPメールの侵害よりも、大きな被害を受けてしまう可能性がある事には留意が必要かと思います。

フロリダの水道事業のハッキングは、サイバー攻撃に対する重大なインフラストラクチャの脆弱性を思い出させるものでした
2月、攻撃者はフロリダ州オールズマーの水処理施設のシステムに侵入し、酸性度を制御するために水に適用される灰汁と呼ばれる化学物質のレベルを変更しようとしました。侵入を発見された侵入者が111倍に灰汁のレベルを上げるためにしようとしたとき、損傷が発生する前に、変更はすぐに元に戻されました。

その後のインシデントの分析では、侵入者が、盗まれたTeamViewerクレデンシャルを使用してシステムにリモートでログインしている可能性が高い、水処理施設のオペレーターが所有するシステムにアクセスしたことが示されました。侵入は、サイバー攻撃に対する米国の重要なインフラストラクチャの継続的な脆弱性を打ち負かしました。特に、飲料水処理施設で監視制御およびデータ取得（SCADA）システムに侵入するのにかかる時間がいかに少ないかを示したためです。